L'attaquant à oublié de modifier la date de son rootkit ?

Support Debian
#1

Saluts,

:12 :017

Une Attaque ???

Ça : /usr/share/ca-certificates/mozilla/Equifax_Secure_CA.crt.bak & /usr/share/ca-certificates/mozilla/Thawte_Premium_Server_CA.crt.bak c’est moi ce matin ! C’est normal !

Mais pour le reste ??? :013

code# find /usr -type f -mtime -5 | less > rootkit_attaquant.txt
[/code]

[quote]:~$ cat rootkit_attaquant.txt
/usr/share/ca-certificates/mozilla/Equifax_Secure_CA.crt.bak
/usr/share/ca-certificates/mozilla/Thawte_Premium_Server_CA.crt.bak

/usr/share/doc/HTML/Games/index.html
/usr/share/doc/HTML/Games/Tools/index.html
/usr/share/doc/HTML/Programming/index.html
/usr/share/doc/HTML/Programming/C/index.html
/usr/share/doc/HTML/Programming/Python/index.html
/usr/share/doc/HTML/Video/index.html
/usr/share/doc/HTML/File management/index.html
/usr/share/doc/HTML/Help/Standards/index.html
/usr/share/doc/HTML/Help/index.html
/usr/share/doc/HTML/Help/Faq/index.html
/usr/share/doc/HTML/Help/Howto/index.html
/usr/share/doc/HTML/Debian/index.html
/usr/share/doc/HTML/Debian/Installation/index.html
/usr/share/doc/HTML/System/Administration/index.html
/usr/share/doc/HTML/System/Security/index.html
/usr/share/doc/HTML/System/index.html
/usr/share/doc/HTML/System/Monitoring/index.html
/usr/share/doc/HTML/System/Hardware/index.html
/usr/share/doc/HTML/Editors/index.html
/usr/share/doc/HTML/Web development/index.html
/usr/share/doc/HTML/index.html
/usr/share/doc/HTML/All/index.html
/usr/share/doc/HTML/Science/Mathematics/index.html
/usr/share/doc/HTML/Science/index.html
/usr/share/doc/HTML/Text/index.html
/usr/share/doc/HTML/Terminal emulators/index.html
/usr/share/doc/HTML/README
/usr/share/doc/HTML/Graphics/index.html
/usr/share/doc/HTML/Network/Web browsing/index.html
/usr/share/doc/HTML/Network/index.html
/usr/share/doc/HTML/Network/Communication/index.html
/usr/share/doc/HTML/Network/Monitoring/index.html
/usr/share/doc/HTML/Viewers/index.html
/usr/share/doc/HTML/Sound/index.html
/usr/share/doc/HTML/Emulators/index.html
/usr/share/icons/hicolor/icon-theme.cache
/usr/share/applications/mimeinfo.cache
:~$ [/quote]

Par anticipation … :033

code# mv /usr/share/doc/HTML /home/ …/…/…/…/le_dossier_qui_va_bien !!!

mv /usr/share/icons/hicolor/icon-theme.cache /home/ …/…/…/…/le_dossier_qui_va_bien !!!

mv /usr/share/applications/mimeinfo.cache /home/ …/…/…/…/le_dossier_qui_va_bien !!!

[/code]

code# find /usr -type f -mtime -5 | less > rootkit_attaquant_verif.txt
[/code]

cat rootkit_attaquant_verif.txt
/usr/share/ca-certificates/mozilla/Equifax_Secure_CA.crt.bak
/usr/share/ca-certificates/mozilla/Thawte_Premium_Server_CA.crt.bak
:~$ [/code]

[quote]rkhunter -c -sk

[ Rootkit Hunter version 1.3.6 ]

Checking rkhunter data files…

(…)

Checking system commands…

/usr/sbin/ifstatus [ Warning ]

Performing additional rootkit checks


Checking for possible rootkit strings [ Warning ]

Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]

System checks summary

File properties checks…
Files checked: 135
Suspect files: 1

Rootkit checks…
Rootkits checked : 248
Possible rootkits: 2
Rootkit names : Xzibit Rootkit, Xzibit Rootkit

Applications checks…
All checks skipped

The system checks took: 1 minute and 32 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

[/quote]

:116 A votre avis … ???

-edit-

à côté de la plaque … :005 :arrow_right:

#2

Essaye packages.debian.org/squeeze/chkrootkit , tu verras bien s’il confirme / ou / faux positif

#3

Salut

J’ai testé sur mon PC et j’ai la même chose avec rkhunter :

# rkhunter -c -sk
...
Rootkit checks...
    Rootkits checked : 242
    Possible rootkits: 1
    Rootkit names    : Xzibit Rootkit

Je pense que c’est normal :

En plus au moment du scan je vois :

Xzibit Rootkit [ Not found ]

voir aussi : http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=576680

#4

Salut,

Sujet que je mets en stand-bye, pour l’heure.

Complément de recherches et d’info, me sont nécessaires.

Merci aux postulants … :wink:

#5

Lut,
Je suis effectivement intéressé par la suite…

Mais sinon que disent les journaux…
De manière générale en cas d’attaque, hormis paré à l’essentiel, il faut aussi penser à sauvegarder les preuves…

Un bon gros tar.gz de tes log, du find qui va bien, d’un ps , d’un netstat et tout ce qui touche au “metier”, etc…
Un autre pour tout ce qui parait suspect…

Après cela extinction des feux et on peut commencer à regarder…

Car le fait que les rkunter et autre chrootkit ne trouve rien ne veux pas dire qu’il n’y à rien…

Donc pour en revenir à ton cas quel, est le vecteur d’infection/intrusion? ça peut donner des pistes sur ou chercher (kiddies ou utilisateur expérimenté…

#6

[quote=“jackall”]Lut,

Après cela exteinction des feux et on peut commencer à regarder…

Car le fait que les rkunter et autre chrootkit ne trouve rien ne veux pas dire qu’il n’y à rien…[/quote]
T’endends quoi par extinctions des feux ?